Het GasPot Experiment: Hackers richten zich op gas tanks

Knoeien met gastanks is al gevaarlijk genoeg, gegeven het feit dat gas explosief kan zijn. Het manipuleren van een brandstofmeter kan er voor zorgen dat de tank overstroomt en daarmee kan een vonkje alles in vuur en vlam zetten. Denk je maar eens in hoe gevaarlijk dit kan zijn als een hacker dit op afstand kan doen. En deze kans is er, zeker nu een aantal brandstofbedrijven wereldwijd gebruik maken van systemen die met het internet verbonden zijn.

Eerder gaf ons team een presentatie op BlackHat in Amerika waarin zij de resultaten van een test naar deze geautomatiseerde tanksystemen deelden. Door gebruik te maken van een custom honeypot die ze GasPot noemde, kregen ze een idee hoe diverse aanvallers het systeem misbruikte en op welke targets zij zich richtten. De GasPots in de VS zijn bijvoorbeeld heel populair onder hackers. Dit resultaat blijkt op een lijn te liggen met onze verwachtingen in het begin van het onderzoek. Sommige bewijsstukken wijzen op betrokkenheid van de Iranian Dark Coders (IDC) en de Syrian Electronic Army. Alle resultaten kan je vinden in het onderzoeksverslag The GasPot Experiment: Unexamined Perils in Using Gas-Tank-Monitoring Systems.

Welke schade kunnen hackers aanrichten?
Het type hackers hangt volledig af van de mate van de verfijning van het tank monitoringssysteem. Simpele systemen geven hackers alleen de mogelijkheid de status van een systeem te monitoren, terwijl andere geavanceerdere systemen hackers in staat stellen om de controle volledig over te nemen en de tanks te manipuleren.

De mogelijke aanvallen en de motivaties die daar achter liggen, variëren aanzienlijk. Sommige zijn slechts simpele vormen van vandalisme (het veranderen van het productlabel op de tank is bijvoorbeeld populair), andere zijn een stuk gevaarlijker (het manipuleren van de werkwijze van het apparaat waardoor ze veranderen in een gevaar voor de publieke veiligheid).

Hoe moeilijk is het patchen?
Patching is altijd een belangrijke uitdaging als het gaat om online aanvallen op internet-connected apparaten en infrastructuur. We moeten ons altijd afvragen hoe deze gadgets en systemen kunnen worden geüpdate. Of het nu gaat om auto’s, SCADA-systemen van miljoenen euro’s of gastanks, het updaten van de software roept vragen op: wie is er verantwoordelijk voor het uitvoeren van de patch: de vendor of de gebruiker? Welke expertise of tools zijn hiervoor nodig? Wat zijn de kosten? Worden alle apparaten gepatched?

De beschikbare informatie uit de wereld van SCADA-systemen suggereert dat organisaties simpelweg onvoorbereid zijn op het patchen van apparaten. Het rapport van European Union Agency for Network and Information Security (ENISA) uit 2013 stelt twee belangrijke zaken: 60 procent van de patches die er op gericht waren ICS software te updaten faalde, en daarbij was er voor minder dan de helft van de kwetsbaarheden een patch beschikbaar. In het algemeen, is het zo dat slechts 10 tot 20 procent van de organisaties er maar voor zorgen ICS/SCADA-patches te installeren die vendors leveren. In de wereld van consumer software zouden deze statistieken onacceptabel zijn.

Beveiliging van apparaten/systemen is een prioriteit
Beveiliging is simpelweg geen prioriteit geweest voor makers van apparaten. Waarom zouden ze? De woelige online wereld waarin alles kan worden gehackt vanaf elke plek is niet bepaald onderdeel van de bedrijfsbeleving. Ze overzien niet de risico’s van het internet-klaar maken van hun apparaten: de voordelen mogen duidelijk zijn voor hen, maar de nadelen zijn dit niet. Producenten van deze apparaten en security-bedrijven zouden moeten samenwerken om deze apparaten te beschermen tegen deze bedreigingen. Het belang van fysieke beveiliging is al een tijdje duidelijk. Het is tijd dat online security als net zo belangrijk wordt gezien.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.